При использовании нескольких дюйм/с обеспечил ISP
Вы, более вероятно, поразите аппаратные проблемы производительности задолго до связанных с программным обеспечением.
Рассмотрите это,
- Диск: 10x 1 ТБ sata зеленые диски мог бы превзойти по характеристикам 5x диски на 2 ТБ. Каждый рассуждает, то, что у Вас будет больше дисковых очередей (DiskQueueLength) для использования с меньшими дисками. Однако сохраните свою ОС на отдельном более быстром объеме. Плата RAID и это являются кэшем, также делает для некоторых серьезных соображений производительности.
- RAM: также влияет на число и размер файлов, которые могут быть открыты (PagedPoolSize).
- NIC: будет влиять, сколько данных может быть записано to/fom сервер. Считайте убегание Ваших резервных копий отдельным NIC. И используйте адаптер, объединяющийся в команду для объединения двух основных NICs для действия как один.
В настоящее время у меня есть два сервера. Объем составляет 16 ТБ и 6 ТБ данных 5 миллионов файлов/каталогов. В конце дня 200 ГБ данных были изменены или добавлены. Существует 100 пользователей, соединяющихся с сервером. И конечно эти серверы копируют реальное время данных использование DoubleTake. Никто не жалуется на производительность сервера.
Тем не менее это также зависит от того, что Вы хотите реализовать. У DFS-R MS на Win2008R2, например, есть пределы, такие как 8 миллионов файлов и 10 ТБ за сервер/объем как официальный ответ. Но я видел сообщения о 20+TB.
У Вас может также быть чтение через это, если Вы хотите... http://www.microsoft.com/whdc/system/sysperf/perf_tun_srv.mspx
Я наконец понял это, и ради блага всех остальных стоит об этом здесь написать.
Я собираюсь получить коробку с тремя интерфейсами Ethernet. Вот как мы их подключаем:
- eth0 -> к кабельному модему
- eth1 -> к коммутатору, на котором должны находиться компьютеры с общедоступными адресами WAN
- eth2 -> к коммутатору для компьютеров LAN (NATted)
Мы настраиваем мост Linux с помощью bridge-utils (brctl), br0, который соединяет eth0 и eth1.
Затем мы можем дать интерфейсу br0 один из общедоступных IP-адресов. В конечном итоге это будет адрес, с которого будут приходить пакеты, приходящие с компьютеров LAN. Для обеспечения максимальной безопасности я буду использовать iptables для блокировки ВСЕГО трафика без NAT на этот IP:
iptables -A INPUT d 172.16.0.1 -j DROP
Это работает, поскольку трафик NAT будет передаваться по цепочке FORWARD, а незапрашиваемый интернет-трафик будет отображаться на INPUT.
Теперь на коммутаторе WAN я могу разместить другие хосты. Я перенесу свой основной сервер - веб-сервер и т. Д. - на этот коммутатор и статически назначу ему один из общедоступных IP-адресов с глобальной маршрутизацией.
Настоящая причина того, что это не было очевидным для меня раньше, заключалась в том, что я не думал, что могу использовать брандмауэр на интерфейсе моста - я не понимал, что пакеты моста действительно проходят через iptables. Оказывается, я не только могу это делать, но даже могу использовать такие приемы, как ulogd и подобные инструменты, для мониторинга пропускной способности и так далее. Ключом к этому является модуль iptables под названием Physdev , который позволяет вам использовать межсетевой экран в зависимости от того, в какой физический интерфейс пакет входит или выходит из него, независимо от мостовой связи интерфейсов.
Таким образом, я мог бы добавить правила брандмауэра в таблицу FORWARD, например:
iptables -A FORWARD -d 172.16.1.2 -p tcp --dport 80 -m physdev --physdev-in eth0 -j ACCEPT
iptables -A FORWARD -d 172.16.1.2 -m physdev --physdev-in eth0 -j DROP
В результате разрешается только трафик порта 80 на 172.16.1.2 из Интернета, даже если у этой машины есть общедоступный IP-адрес. (Помните, что в моих примерах 172.16.xx являются общедоступными, хотя мы все знаем, что на самом деле это не так.)
Поскольку я использую Physdev , это означает, что машины в локальной сети могут иметь полный доступ к этому хосту. Так что со стороны LAN я все еще могу использовать SSH для 172.16.0.1. С точки зрения локальной сети, 172.16.0.1 вообще не имеет брандмауэра. То же самое с точки зрения другой машины DMZ. Однако с точки зрения Интернета 172.16.0.1 заблокирован.
Решение найдено! Это оказался действительно интересный проект.
F
2 из Интернета, даже если у этой машины публичный IP-адрес. (Помните, что в моих примерах 172.16.xx являются общедоступными, хотя мы все знаем, что на самом деле это не так.) Поскольку я использую Physdev , это означает, что машины в локальной сети могут иметь полный доступ к этому хосту. Так что со стороны LAN я все еще могу использовать SSH для 172.16.0.1. С точки зрения локальной сети, 172.16.0.1 вообще не имеет брандмауэра. То же самое с точки зрения другой машины DMZ. Однако с точки зрения Интернета 172.16.0.1 заблокирован.
Решение найдено! Это оказался очень интересный проект.
F
2 из Интернета, даже если у этой машины публичный IP-адрес. (Помните, что в моих примерах 172.16.xx являются общедоступными, хотя мы все знаем, что на самом деле это не так.) Поскольку я использую Physdev , это означает, что машины в локальной сети могут иметь полный доступ к этому хосту. Так что со стороны LAN я все еще могу использовать SSH для 172.16.0.1. С точки зрения локальной сети, 172.16.0.1 вообще не имеет брандмауэра. То же самое с точки зрения другой машины DMZ. Однако с точки зрения Интернета 172.16.0.1 заблокирован.
Решение найдено! Это оказался очень интересный проект.
F
это означает, что машины на стороне LAN все еще могут иметь полный доступ к этому хосту. Так что со стороны LAN я все еще могу использовать SSH для 172.16.0.1. С точки зрения локальной сети, 172.16.0.1 вообще не имеет брандмауэра. То же самое с точки зрения другой машины DMZ. Однако с точки зрения Интернета 172.16.0.1 заблокирован.Решение найдено! Это оказался очень интересный проект.
F
это означает, что машины на стороне LAN все еще могут иметь полный доступ к этому хосту. Так что со стороны LAN я все еще могу использовать SSH для 172.16.0.1. С точки зрения локальной сети, 172.16.0.1 вообще не имеет брандмауэра. То же самое с точки зрения другой машины DMZ. Однако с точки зрения Интернета 172.16.0.1 заблокирован.Решение найдено! Это оказался действительно интересный проект.
F
if you add the third interface like you have above to build a DMZ, the routing is dead simple. quite literally all you need to do is enable IP Forwarding and it will forward packets between the connected interfaces.
either
sysctl -w net.ipv4.ip_forward=1
or
echo 1 > /proc/sys/net/ipv4/ip_forward
to enable it on the fly
or set
net.ipv4.ip_forward=1 in /etc/sysctl.conf
Then you would just need firewall rules to control access to the Lan computers from the DMZ, you would still utilize NAT from the Wan interface to the LAN interface, you would rely on Routing + access rules to control from the WAN to DMZ and the DMZ to LAN. The fact the DMZ and the LAN's default GW is the same box, you will not have to relay on static routes on the DMZ or LAN computers to access each other. Another option is to put 2 ethernet cards in each DMZ host, and connect them to the lan as well, but that isn't as clean as using the Router in the middle and access lists (iptables) to dictate what can talk to what.
Полагаю, вам нужны "сетевые псевдонимы". Тогда что вам нужно сделать, так это настроить "множественный NAT" для этих сетевых псевдонимов.
Я не знаю, что вы используете на самом деле на вашем Linux-маршрутизаторе, но если бы я мог предложить одно решение, просто установите "pfSense", который имеет множество функций ( http://www.pfsense.org/ index.php@option = com_content & task = view & id = 40 & Itemid = 43.html ) или IPCop ( http: //www.ipcop .org / ), то его намного проще администрировать, так как это графическое решение.
Оно точно соответствует вашему варианту использования:
- http://www.youtube.com/watch?v=zrBr0N0WrTY
- http://www.ipcop.org/2.0.0/en/install/html/preparation-network-interfaces.html
Более того, он работает на действительно старом оборудовании.
Янн